ADFS 是什么?
2022-3-8 11:51:45 Author: www.aqniu.com(查看原文) 阅读量:22 收藏

ADFS 是什么?

日期:2022年03月08日 阅:103

在今天的现代 IT 环境中,身份和访问管理(IAM)工具的重要性日益凸显,而远程工作的普及导致数字威胁无处不在,在此背景下 IAM 变得更加不可或缺。IAM 市场也不断发展,许多厂商一直在努力跟进,希望满足企业不断变化的需求。如今,企业通过传统方案和基于云的方案的各种结合支持关键业务流程,也保障了员工的灵活性。

2003年,微软推出了 Active Directory 联合身份验证服务(ADFS)作为 Windows Server 操作系统的扩展功能,允许企业拓展用户的单点登录(SSO),让用户能访问企业防火墙之外和跨企业边界的资源,灵活精简终端用户体验,同时改进 IT 管理员对其用户账号和第三方应用的控制。

本文将讨论 ADFS 的含义、运作原理和相关使用案例,还将探究如今的 IAM 行业为什么要从ADFS 等独立拓展方案转向更全面的云 IAM 方案。

1、什么是ADFS?

ADFS 是微软的本地 SSO 解决方案,支持对 Active Directory(AD)和集成 Windows 身份验证(IWA)不兼容的应用进行用户认证。2000年掀起了软件即服务(SaaS)的热潮,而微软在这一年发布 ADFS 就是为了帮助企业更好地利用 SaaS。

当时的微软已经是 IT 龙头之一,企业使用的应用几乎都是本地部署和基于 Windows 系统,这就给 Windows 系统和企业边界外的应用带来了身份验证问题。ADFS 的出现则解决了这一问题,身份信息能在公司外网安全共享,方便访问面向 Web 的资源,包括在关联企业托管的 Web 应用。

本质上,ADFS 允许企业通过互联网创建一种“信任关系”,将本地设置中的身份扩展到基于云的环境从而对 AD 进行补充,其运行方式与使用安全断言标记语言(SAML)协议的基于 Web 应用的 SSO 服务基本一致。此外,ADFS 还可以使用 cookie 和 JSON Web 令牌 (JWT)等其他令牌标准来提供身份验证服务,但仅限于本地,无法在云上使用。

2、ADFS 如何运作?  

ADFS 采用基于声明的验证方式,先核验用户的一组声明(其中包含受信任令牌中的身份),然后提示用户进行 SSO ,以便访问不同网络上的多个应用和系统。

在 ADFS 中,首先要确认两个企业安全领域之间的信任关系随后再建立身份联合。企业的联合服务器通过标准 Active Directory  域服务(AD DS)进行用户认证,之后 AD DS 会发出一个令牌,由一系列用户相关的声明组成,其中包括用户在企业中的身份声明。 

在企业的资源端,另一个 AD FS 服务器会确认 AD DS 的令牌并提供另一个令牌让本地服务器接受用户所声明的身份。这样一来,系统就能控制对资源的访问,用户也无需直接对应用进行身份验证。  

3、企业为什么使用 ADFS ?

2003年以前,企业主要使用 AD 和 IWA 管理终端用户对内部资源的访问。随着远程访问和云服务不断普及,越来越多用户希望访问 SaaS 和 Web 应用等外部资源,而AD 和 IWA 显然无法解决现代身份验证问题。

ADFS 简化了第三方身份验证问题,帮助企业在不断发展的办公场景中更好地管理对资源的访问:用户使用 Windows 凭证登录后,就完成了所有已批准的第三方系统和应用的身份验证。此外,SSO 功能让用户在访问 SaaS 和 Web 应用时无需再记住不熟悉和不同账号的凭证。

除了用户,ADFS 也能帮助 IT 管理员和开发人员。IT 管理员可以保留大部分现有的 AD 设置,特别是在 IT 环境仍然基于本地和 Windows 系统的情况下,管理员也能完全掌握自己的数字身份。对于开发人员来说,ADFS 简化了企业的用户认证,他们只需要企业目录中的身份就能进行验证,可以专注于更高效的任务。  

4、ADFS 存在的问题

ADFS 的普及得益于作为主要目录服务的 AD,以及基于 Windows 系统的 IT 环境,与此同时 ADFS 也存在着不容忽视的问题和局限性。

尽管 ADFS 是 Windows Server 操作系统上的免费功能,但要调试 ADFS 还需要许可证和服务器来托管联合身份验证服务,这对企业来说成本过高,不仅需要考虑终端用户客户端访问许可证(CAL)的成本,还要考虑服务器许可成本,而后者自微软推出 Windows Server 2016 以来不断上涨,现在按照内核单独计算。除了成本问题,ADFS 也无法为拥有混合 IT 环境的企业提供所需的灵活性,这类企业除了有 Windows 系统资源之外还有其他资源。 

如今,为了保持竞争力,IAM 和 SSO 工具需要将用户连接到尽可能多的 IT 资源,且不受平台、厂商、位置或协议的限制。没有企业愿意采买或管理多个解决方案后依然无法处理所有的 IAM 业务,这也是为什么 IAM 行业正在从 ADFS 等 Web 应用 SSO 的单点解决方案转向可完全集成到 IAM 平台的更全面的方案。

坚持使用 ADFS 的企业基本上都局限于 Windows 的生态系统和部分 SaaS 解决方案。然而,今天的微软不再是 IT 行业的唯一参与者,企业只有敢于从微软生态系统迁移才能实现统一身份管理。

宁盾可以帮助企业从 AD 向多云/混合云资源(如腾讯云、阿里云、华为云、AWS、Azure AD、Okta 等)迁移,不论是遗留应用还是为业务发展新增的应用,都能实现快速纳管,无需考虑 ADFS 产生的成本、运维问题。

不过,尽管ADFS存在着一些局限性,但对于企业而言它并不是毫无价值的。在一些新场景下,宁盾增强方案能够补足ADFS的能力,让ADFS更适合混合IT环境。

ADFS存在的问题:应用接入难度大,运维代价高。宁盾通过SAML等标准SSO协议快速对接业务系统,同时基于非标接口适配业务系统,从而实现业务系统纳管。如此,解决了ADFS和业务应用的对接难题。

ADFS无法应对新的身份需求,尤其是安全需求。宁盾具备认证增强的能力,如MFA、统一身份认证等。宁盾充当ADFS的认证代理,基于代理提供身份安全上的能力增强。

例如,有些企业使用Office 365、outlook等应用,出于信息安全考虑需要对登录入口进行保护。ADFS本身没有MFA能力,宁盾则通过与ADFS对接,为ADFS服务增加二次动态密码认证,从而提升应用登录的账号密码安全。

上海宁盾信息科技有限公司,企业级身份管理厂商。凭借全场景统一身份认证”、“零信任终端准入”、“移动化安全管理”技术,帮助解决客户在“零信任”安全架构转型及快速落地的难题。目前已服务近2000家中大型企业客户,覆盖金融、互联网、能源、电力、制造的头部客户(中国银行、广西公安、国家电网、百度、滴滴、诺亚财富、长江存储、京东方、wework、虹桥机场等)。


文章来源: https://www.aqniu.com/industry/81452.html
如有侵权请联系:admin#unsafe.sh